Identitätsklauverhindern - e-Mail-Passwort sperren

05/10/2013 - 13:53 von spamfalle2 | Report spam
Xpost und FupTo gesetzt.

Motiviert von folgendem Artikel
http://www.heise.de/newsticker/meld...72594.html

habe ich ein schweres Sicherheitsproblem ausgemacht.

Problem:
Smartphone - entweder ohne gesetztes Entriegelungspassword, oder eben
wie im heise-Artikel beschrieben ein iPhone 5S mit Fingerabdrucksensor -
geht verloren bzw. wird geklaut. Oder der Dieb spàht das Eintippen der
4-stelligen PIN aus und klaut es dann gezielt.

Der Finder/Dieb kann über das Smartphone jetzt auf den e-Mail-Account
des Besitzers zugreifen. Er initiert bei diversen Diensten (iCloud wie
im Artikel beschrieben, Facebook, PayPal, eBay...) jeweils ein "Passwort
vergessen", woraufhin ihm jeweils ein Link zum Passwort-Rücksetzen
gemailt wird. Das Mail empfàngt er am gefundenen/geklauten Smartphone,
und kann daraufhin ein neues Passwort setzen, somit den Account
übernehmen und den rechtmàßigen Besitzer aussperren.

Der eigene e-Mail Account (bzw. dessen Zugangsdaten) ist mittlerweile
zum wertvollsten Asset der digitalen Identitàt geworden.
Aus einem mittleren Handy-Verlust wird ein Horrorszenario.

Denkbare Lösung: verschiedene e-Mail Accounts verwenden, und den für
"Passwort-vergessen" bei div. Diensten angegebenen Account nicht am
Smartphone einrichten, sondern nur am Rechner zuhause. Geht oft leider
nicht, weil die Mailadresse gleichzeitig als Username der Dienste
verwendet wird, und somit auch am Smartphone abrufbar sein muss. Ist
außerdem eine Geek-Lösung - welcher normale User hat schon mehrere
e-Mail Accounts...

Wenn man selber Admin seiner Domain ist, kann man natürlich die
Zugangsdaten seines e-Mail-Accounts àndern (neues Passwort), so dass das
verlorene/geklaute Smartphone nicht mehr darauf zugreifen kann. Der
Finder/Dieb kann zwar alte Mails lesen die lokal am Smartphone
gespeichert sind, aber weder neue empfangen noch senden.

Aber was machen Non-Admin-User? Ich habe z.B. allen Familienmitgliedern
einen e-Mail Account auf meiner Domain eingerichtet, von denen etliche
wohl auch für kritische Dienste (Banking, PayPal, eBay, ...) als
Kontakt- e-Mail verwendet werden. Ich bin aber nicht 24h tàglich
erreichbar um im Notfall ein e-Mail-Passwort zu àndern, und mag
andererseits natürlich auch nicht jeden gleich zum Admin meiner Domain
machen.

Wie also könnte ein Non-Admin-User sein e-Mail-Passwort im Notfall
rücksetzen? Gibt es eine 24/7/52 Notrufnummer beim Provider? Oder ein
Webformular, welches einfach nur das Passwort eines angegebenen
e-Mail-Accounts sperrt - natürlich ebenfalls mit einem (Simpel-)Passwort
geschützt um DDoS-Attacken zu verhindern? Freischalten durch Vergabe
eines neuen Passworts könnte ich als Admin das dann auch ggf. erst 2
Tage spàter, Hauptsache der Account ist für das verlorene/geklaute
Smartphone ASAP nicht mehr erreichbar.


In a world without walls and fences,
who needs windows and gates?
 

Lesen sie die antworten

#1 Başar Alabay
05/10/2013 - 22:10 | Warnen spam
Marc Stibane wrote in de.comp.sys.mac.misc:

Der eigene e-Mail Account (bzw. dessen Zugangsdaten) ist mittlerweile
zum wertvollsten Asset der digitalen Identitàt geworden.
Aus einem mittleren Handy-Verlust wird ein Horrorszenario.



Tja.

Denkbare Lösung: verschiedene e-Mail Accounts verwenden, und den für
"Passwort-vergessen" bei div. Diensten angegebenen Account nicht am
Smartphone einrichten, sondern nur am Rechner zuhause. Geht oft leider
nicht, weil die Mailadresse gleichzeitig als Username der Dienste
verwendet wird, und somit auch am Smartphone abrufbar sein muss. Ist
außerdem eine Geek-Lösung - welcher normale User hat schon mehrere
e-Mail Accounts...



HÎ Welcher »normale« User? Wer ist hier normal? Der, der sich mit so
einem Handyverlust in die Krise stürzen làßt oder der, der etwas
vorausdenkt? Normal? Krank? Warum kann ein User nicht für jeden Dienst
eine eigene Mailadresse haben? 20 Mailadressen … die alles Aliase für z.
B. eine Hauptadresse sind?

Aber was machen Non-Admin-User? Ich habe z.B. allen Familienmitgliedern
einen e-Mail Account auf meiner Domain eingerichtet, von denen etliche
wohl auch für kritische Dienste (Banking, PayPal, eBay, ...) als
Kontakt- e-Mail verwendet werden. Ich bin aber nicht 24h tàglich
erreichbar um im Notfall ein e-Mail-Passwort zu àndern, und mag
andererseits natürlich auch nicht jeden gleich zum Admin meiner Domain
machen.



Man sollte sich halt Gedanken machen, welche Mailadresse wofür benutzt
wird. Meine »echte« Mailadresse kennen nicht mal meine Bekannten …
geschweige irgend welche Dienste. Man kann sich x Verbrennadressen,
Aliase, Filter und sonstwas anlegen.

B. Alabay

http://www.thetrial.de/
ケディエ・ばく・ハヤテ・あんら

Ähnliche fragen